Get best of the week

Manajemen Kata Sandi dalam Zimbra Collaboration Suite Open-Source Edition

Manajemen kata sandi selalu menjadi salah satu masalah terpenting yang terkait dengan pengoperasian sistem informasi yang aman. Kemampuan untuk menyimpan dengan aman dan dengan cepat mengubah kata sandi untuk banyak akun, kemampuan bagi pengguna untuk mengatur ulang kata sandi yang dilupakan dengan aman, dan kemampuan untuk mengatur ulang kata sandi administrator dengan aman - semua fungsi ini tidak kalah pentingnya dengan kebijakan keamanan kata sandi yang telah kita bicarakan sebelumnya. Pada artikel ini, kita akan melihat bagaimana fungsi-fungsi ini diimplementasikan dalam Zimbra OSE.



Mengubah

kata sandi pengguna dan administrator global Kata sandi administrator global ditetapkan selama instalasi Zimbra OSE dan selanjutnya dapat diubah dalam pengaturan klien web. Kata sandi pengguna awalnya ditetapkan saat membuat akun, namun, administrator dapat mengaktifkan perubahan kata sandi paksa ketika pengguna pertama kali masuk ke klien web sehingga pengguna tidak lupa untuk mengatur kata sandi sendiri.

Jika pengguna lupa kata sandinya, Zimbra OSE menyediakan fungsi pemulihan kata sandi. Fungsi ini, jika diaktifkan oleh administrator, memungkinkan pengguna untuk menentukan kotak surat cadangan tempat kode konfirmasi sementara akan datang. Dengan kode sekali pakai ini, pengguna dapat mengakses klien web Zimbra OSE dan mengubah kata sandi mereka.

Namun, jika administrator tiba-tiba lupa kata sandi untuk akunnya dan karena ini tidak dapat masuk ke klien web untuk mengubah kata sandi, ia dapat menggunakan atribut  setPassword atau hanya  sp pada baris perintah. Sebagai contoh, perintah  zmprov sp admin@company.ru qwerty  memungkinkan Anda untuk mengubah kata sandi administrator menjadi qwerty tanpa masuk ke klien web Zimbra OSE. Perintah yang sama dapat digunakan untuk mengubah kata sandi dari pengguna lain mana pun.

Perhatikan juga bahwa administrator tidak memiliki opsi untuk melihat kata sandi pengguna. Keterbatasan ini disebabkan oleh fakta bahwa Zimbra OSE, pada prinsipnya, tidak menyimpan kata sandi pengguna dalam teks yang jelas. Sebaliknya, Zimbra OSE hanya menyimpan hash kata sandi asin dan, ketika mencoba masuk, membandingkan hash kata sandi yang dimasukkan oleh pengguna dengan apa yang disimpan di server LDAP.

Perubahan kata sandi selama otentikasi melalui AD

Jika AD digunakan untuk mengotentikasi pengguna, kata sandi juga tidak disimpan di server. Sebagai gantinya, Zimbra OSE hanya melewati AD input pengguna dan menerima respons tentang apakah akun ini diautentikasi atau tidak. Dan karena semua informasi akun disimpan di server lain, saat menggunakan AD eksternal, biasanya disarankan untuk menonaktifkan fitur kata sandi perubahan-diri di klien web Zimbra OSE.

Namun, ada cara untuk menggabungkan otentikasi pengguna melalui AD dengan kemampuan mengubah kata sandi untuk pengguna secara independen. Ini dapat dilakukan dengan ekstensi yang disebut  Active Directory Change Password . Ini mengubah fungsionalitas tombol perubahan kata sandi di klien web Zimbra OSE sehingga kata sandi dalam AD berubah. 

Ekstensi ini cukup mudah dipasang dan berfungsi sebagai berikut:

  • Pengguna mengklik tombol ubah kata sandi
  • Masukkan kata kunci
  • Ekstensi mendefinisikan DN pengguna
  • Mencari server AD eksternal
  • Membuat perubahan pada kata sandi akun melalui koneksi yang aman

Ekstensi diinstal pada baris perintah menggunakan perintah berikut:
 
 mkdir -p /opt/zimbra/lib/ext/adpassword
  wget https://github.com/Zimbra-Community/ADPassword/raw/master/out/artifacts/ADPassword_jar/ADPassword.jar -O /opt/zimbra/lib/ext/adpassword/adPassword.jar
  su zimbra
  zmprov md domain.ext zimbraAuthLdapBindDn "%u@company.ru"
  zmprov md domain.ext zimbraAuthLdapSearchBase «CN=Users,DC=DOMAIN,DC=EXT»
  zmprov md domain.ext zimbraAuthLdapSearchBindDn «CN=serviceAccount,CN=Users,DC=DOMAIN,DC=EXT»
  zmprov md domain.ext zimbraAuthLdapSearchBindPassword "*********"
  zmprov md domain.ext zimbraAuthLdapSearchFilter "(samaccountname=%u)"
  zmprov md domain.ext zimbraAuthLdapURL «ldaps://ad.company.ru:636»
  zmprov md domain.ext zimbraExternalGroupLdapSearchBase «CN=Users,DC=DOMAIN,DC=EXT»
  zmprov md domain.ext zimbraExternalGroupLdapSearchFilter "(samaccountname=%u)"
  zmprov md domain.ext zimbraAuthMech «ad»
  zmprov md domain.ext zimbraAuthMechAdmin «ad»
  zmprov md domain.ext zimbraPasswordChangeListener ADPassword
  zmprov gd domain.ext | grep -i ldap | grep -v Gal
  zmprov gd domain.ext | grep -i zimbraPasswordChangeListener
  zmprov md domain.ext zimbraAuthFallbackToLocal FALSE
  zmcontrol restart

Selain itu, jika server Zimbra OSE dan Active Directory Anda menggunakan sertifikat SSL yang berbeda, Anda harus menambahkan sertifikat AD ke daftar tepercaya di server Zimbra OSE. Jika kedua sistem informasi menggunakan sertifikat yang sama, Anda dapat melewati langkah ini.

Dengan demikian, setelah menginstal ekstensi ini, pengguna Anda akan dapat mengubah kata sandi mereka secara langsung di klien web Zimbra OSE, bahkan ketika menggunakan otentikasi menggunakan AD.

Reset kata sandi massal

Ini adalah situasi yang cukup dapat diterima di mana Anda mungkin perlu mengatur ulang kata sandi untuk sejumlah besar pengguna Zimbra OSE. Jika jumlah pengguna cukup besar, mengatur ulang kata sandi secara manual akan membutuhkan banyak waktu, yang mungkin tidak dapat diterima dalam situasi kritis. Sebuah skrip dapat membantu mengoptimalkan tugas ini, yang secara otomatis dapat mengatur ulang kata sandi pengguna dari satu domain tunggal dan seluruh server email.

Misalnya, setel ulang kata sandi semua pengguna domain company.ru. Untuk melakukan ini, masuk ke server dan jalankan perintah  zmprov -l gaa company.ru> /tmp/domainusers.txt . Sebagai hasil dari pelaksanaan perintah ini, file teks domainusers.txt akan dibuat, di mana semua pengguna domain yang ditentukan oleh kami akan terdaftar. Jika Anda tidak menentukan domain dalam perintah ini, semua akun di server ini akan ditulis ke file teks.

Setelah itu, Anda dapat menghapus dari file teks yang diterima semua akun sistem, seperti galsync atau spam, serta pengguna yang kata sandinya tidak akan disetel ulang. Saat file siap, Anda dapat menjalankan skrip berikut:

untuk saya di `cat / tmp / domainusers.txt`; do newpass = "Z1mBr @` openssl rand -base64 12`0a "&& / opt / zimbra / bin / zmprov sp $ i $ newpass && echo $ i $ newpass >> newlogin.txt && echo $ i && sleep 5s; selesai

Hasil skrip ini akan menjadi file newlogin.txt dengan kata sandi akun baru. Kami menyarankan Anda menyimpannya di tempat yang aman sesegera mungkin dan menghapus file ini dari server. Setelah itu, Anda dapat memberi tahu pengguna kata sandi baru mereka sehingga mereka dapat terus bekerja di Zimbra OSE.

Pisahkan kata sandi untuk perangkat seluler

Fitur menarik lainnya yang tersedia setelah menginstal Suite ekstensi Zextras untuk Zimbra OSE adalah kata sandi terpisah untuk memasukkan kotak surat dari perangkat seluler. Dengan kata lain, kata sandi tambahan dibuat untuk akun yang menggunakan akunnya di perangkat seluler, yang dengannya perangkat itu dapat menyinkronkan perangkatnya dengan kotak surat, tetapi tidak dapat masuk ke klien web Zimbra OSE. Fitur ini secara signifikan dapat meningkatkan keamanan menggunakan e-mail di luar kantor, karena perangkat seluler dapat dikompromikan atau bahkan dicuri, dan fungsi kata sandi seluler akan membantu mencegah kata sandi akun sebenarnya jatuh ke tangan penyerang.


Membuat kata sandi untuk perangkat seluler cukup sederhana. Ini dapat dilakukan di konsol administrasi menggunakan plugin Zextras, dan di baris perintah. Jadi, misalnya, menggunakan perintah  zxsuite mobile setAccountMobilePassword manager@company.ru Z1mBr @, Anda akan memberikan kata sandi Z1mBr @ kepada user manager@company.ru. Menggunakan perintah  zxsuite mobile getAccountMobilePassword manager@company.ru Anda dapat melihat kata sandi ponsel dari user manager@company.ru, dan menggunakan perintah zxsuite mobile unsetAccountMobilePassword manager@company.ru Anda dapat menghapus kata sandi ponsel dari pengguna yang ditentukan. 

Untuk semua pertanyaan yang terkait dengan Zextras Suite, Anda dapat menghubungi perwakilan perusahaan "Zextras" Ekaterina Triandafilidi melalui email katerina@zextras.com

More articles:


All Articles